CPI5

1. Según el documento, ¿cómo debe entenderse la ciberseguridad en los entornos industriales?. a) Como un hito puntual que finaliza al instalar los sistemas. b) Como un proceso continuo que abarca todo el ciclo de vida de la instalación. c) Como una fase exclusiva del diseño del proyecto. d) Como una tarea reactiva únicamente ante ciberataques.

2. ¿De qué depende principalmente el éxito de la ciberseguridad en la etapa de Operación y Mantenimiento (O&M)?. a) Del presupuesto asignado a la instalación inicial. b) Del uso exclusivo de software libre. c) De su integración en un marco estructurado conocido como Cybersecurity Management System (CSMS). d) De desconectar la planta de cualquier acceso a Internet.

3. Durante la fase de mantenimiento, ¿qué condición debe cumplir el Nivel de Seguridad Alcanzado (SL-A) respecto al Nivel de Seguridad Objetivo (SL-T)?. a) Debe ser inferior para ahorrar costes. b) Debe ser estático independientemente del SL-T. c) Debe ser siempre igual o superior al Nivel de Seguridad Objetivo (SL-T). d) Solo importa el SL-A en la fase de diseño.

4. En el contexto actual de la Industria 4.0, ¿cómo se concibe el mantenimiento industrial?. a) Como una función de coste y un mal necesario. b) Exclusivamente como la reparación de fallos mecánicos. c) Como un gasto impredecible sin retorno. d) Como una función de producción y una herramienta de optimización de activos que aporta valor directo.

5. Según el modelo de referencia Purdue (pirámide de automatización), ¿a partir de qué nivel hacia abajo es crítico proteger los activos?. a) Desde el Nivel 5. b) Desde el Nivel 4. c) Desde el Nivel 3. d) Desde el Nivel 1.

6. Dentro del inventario de activos de red, ¿qué elementos forman parte del Nivel 1 (Control)?. a) Consolas SCADA y terminales HMI. b) Sensores, actuadores e instrumentación física. c) Sistemas MES y MOM. d) PLCs (Controladores Lógicos Programables), RTUs y sistemas DCS.

7. ¿Qué principio garantiza que cada técnico disponga exclusivamente de los permisos necesarios para realizar su tarea específica?. a) Autenticación Multifactor (MFA). b) Control de Acceso Basado en Roles (RBAC). c) Zonas y Conductos. d) Cierre de sesión automático.

8. En las políticas de contraseñas para entornos OT, ¿cuál es la longitud mínima habitualmente recomendada para mantener la complejidad adecuada?. a) 6 caracteres. b) 8 caracteres. c) 12 caracteres. d) 16 caracteres.

9. ¿En qué consiste la técnica de "Hardening de puertos" recomendada para las consolas de operación?. a) En utilizar siempre el mismo puerto para todas las aplicaciones. b) En habilitar todos los puertos para facilitar el mantenimiento. c) En deshabilitar puertos físicos (USB) y puertos de red TCP/IP que no se utilicen para evitar la entrada de malware. d) En instalar un antivirus de grado IT.

10. Según el estándar ISA/IEC 62443-3-3, ¿cómo debe estructurarse la red OT para limitar el movimiento lateral de un atacante?. a) En una única red plana y abierta. b) Dividiéndose en segmentos lógicos denominados zonas, conectadas por conductos controlados. c) Uniéndose directamente con la red IT y corporativa. d) A través de múltiples servidores proxy sin segmentación de capa de red.

11. ¿Cuál es una de las razones principales por las que la gestión de actualizaciones (parches) es más compleja en OT que en IT?. a) Porque los equipos de OT se cambian cada 3 años. b) Porque es habitual encontrar activos con una antigüedad de entre 10 y 20 años que ejecutan sistemas operativos obsoletos o sin soporte. c) Porque no existen vulnerabilidades en los sistemas OT. d) Porque las actualizaciones se hacen de forma automática desde Internet.

12. En el ciclo de gestión de parches, ¿qué paso es imperativo realizar antes de aplicar cualquier actualización?. a) Ejecutarlo directamente en la red de producción. b) Notificar a Recursos Humanos. c) Realizar pruebas de compatibilidad en entornos aislados o de pruebas para asegurar que no bloquee el dispositivo. d) Desconectar todos los PLCs de la planta.

13. Si no es posible aplicar un parche a un activo por obsolescencia técnica, ¿qué medida compensatoria se debe aplicar?. a) Apagar el dispositivo de forma indefinida. b) Ignorar la vulnerabilidad. c) Implementar Virtual Patching mediante sistemas IPS industriales. d) Cambiar únicamente las contraseñas por defecto.

14. Para proteger las copias de seguridad frente a ataques de ransomware, ¿dónde deben almacenarse?. a) En los mismos servidores SCADA de producción. b) En servidores externos, preferiblemente en ubicaciones físicas remotas y fuera de línea (offline). c) En el escritorio de las estaciones de ingeniería. d) En carpetas compartidas sin cifrar.

15. ¿Cada cuánto tiempo es obligatorio realizar simulacros de restauración para sistemas críticos validando el plan de recuperación (DRP)?. a) Una vez al mes. b) Cada cinco años. c) Solo cuando haya ocurrido un incidente grave. d) Al menos una vez al año, y cada tres meses para sistemas críticos.

16. ¿En qué consiste la medida de endurecimiento conocida como "Operation Lockdown"?. a) Bloquear el acceso físico a las salas de control con candados. b) La implementación de medidas que bloqueen la ejecución de software no autorizado, permitiendo únicamente aplicaciones validadas por el fabricante (whitelisting). c) Apagar todos los sistemas durante la noche. d) Eliminar las credenciales de los usuarios administradores.

17. ¿Cómo analiza el tráfico un Sistema de Detección de Intrusos (IDS) industrial para no impactar en la disponibilidad del proceso?. a) Modificando las tramas de los PLCs activamente. b) De forma pasiva, generalmente a través de un puerto espejo (SPAN port) en los switches. c) Interrumpiendo temporalmente el tráfico para analizarlo. d) Enviando continuamente tráfico de prueba (pings) a la red.

18. Para establecer una línea base del comportamiento normal de la red industrial, la monitorización moderna se apoya en: a) Revisión manual de logs una vez al día. b) Firmas de virus estáticas de los años 90. c) El aprendizaje automático (Machine Learning). d) La suposición de que ningún técnico cometerá errores.

19. A diferencia de un IDS que solo detecta y alerta, ¿qué característica define a un sistema IPS (Intrusion Prevention System)?. a) Es un sistema pasivo que genera informes semanales. b) Es una base de datos de contraseñas seguras. c) Es una tecnología activa que puede tomar medidas automáticas para bloquear el tráfico malicioso en tiempo real. d) Es exclusivo para la gestión de activos físicos.

20. ¿Qué sistema permite integrar y correlacionar información recopilada por sondas (IDS/IPS), firewalls y servidores para obtener una visión integral?. a) SIEM (Sistema de gestión de eventos e información de seguridad). b) MES (Manufacturing Execution System). c) PLC (Controlador Lógico Programable). d) HMI (Interfaz Hombre-Máquina).

21. Dentro de la gestión de incidentes, ¿cuál es el objetivo principal de la fase de "Contención"?. a) Descubrir quién es el atacante. b) Limitar el alcance del ataque y evitar que se propague a otros segmentos de la red (movimientos laterales). c) Restaurar las copias de seguridad de forma inmediata. d) Despedir al personal responsable.

22. En la fase de "Recuperación" de un incidente, ¿qué es fundamental realizar antes de retomar la producción?. a) Publicar en redes sociales que el problema está resuelto. b) Cambiar a todo el personal técnico de la planta. c) Verificar la integridad de los sistemas para asegurar que no queden puertas traseras o amenazas latentes. d) Destruir los discos duros afectados.

23. ¿Qué roles conforman un Equipo de Respuesta a Incidentes (IRT) en un entorno industrial?. a) Exclusivamente técnicos informáticos externos. b) Solo directivos y responsables de recursos humanos. c) Gestor de Respuesta (IRM), Equipo Técnico (ciberseguridad, ingenieros, mantenimiento) y Equipo Directivo. d) Operarios de planta en exclusiva.

24. Tras resolver un incidente durante la crisis, ¿cómo se deben aplicar los cambios (ej. reglas de firewall o firmware)?. a) De manera improvisada por el primer técnico que intervenga. b) Bajo un procedimiento formal de gestión de cambios para no comprometer la seguridad física (Safety). c) Nunca se deben documentar por razones de seguridad. d) Siguiendo manuales descargados de internet en ese momento.

25. ¿Por qué el acceso remoto de terceros (fabricantes o integradores) representa un riesgo significativo para la infraestructura crítica?. a) Porque el personal externo suele trabajar más lento. b) Porque consumen demasiado ancho de banda. c) Porque se han convertido en uno de los vectores de ataque favoritos para comprometer los sistemas. d) Porque exigen el uso de equipos antiguos.

26. ¿Qué técnica permite a un atacante tomar el control total de una estación de ingeniería o servidor SCADA desde cualquier lugar del mundo?. a) Troyanos de Acceso Remoto (RAT). b) El Control de Acceso Basado en Roles (RBAC). c) La segmentación de red. d) El uso de Redes Privadas Virtuales (VPN).

27. En cuanto a la arquitectura de acceso remoto para soporte de terceros, ¿dónde deben terminar las conexiones entrantes?. a) Directamente en el Nivel 1 de Control (PLCs). b) En los ordenadores personales (BYOD) de los técnicos. c) En una Zona Desmilitarizada (DMZ) industrial que actúe como conducto controlado. d) En la red corporativa general de la empresa.

28. Dentro de una estrategia de defensa en profundidad, ¿cómo se considera al factor humano en O&M?. a) Como una capa completamente irrelevante. b) Como una de las principales vulnerabilidades y, a la vez, la primera línea de defensa activa. c) Como un riesgo imposible de mitigar mediante formación. d) Exclusivamente como una amenaza interna maliciosa.

29. En los programas de capacitación, ¿qué contenidos debe incluir específicamente la formación orientada al personal IT que interviene en la planta?. a) Ofimática avanzada. b) Diseño de logotipos empresariales. c) Aspectos específicos del entorno industrial: protocolos nativos, requisitos de disponibilidad y seguridad física (Safety). d) Únicamente lenguajes de programación web.

30. Para auditar la eficacia del CSMS y garantizar la mejora continua, ¿qué técnica simula ataques reales para descubrir vulnerabilidades?. a) Encuestas de clima laboral. b) Auditorías de seguridad y Pentesting (Hacking Ético). c) Implementación de firmas antivirus antiguas. d) El borrado periódico de los registros del sistema.